Định nghĩa an toàn thương mại điện tử

Một phần của tài liệu Giáo trình Thương Mại điện tử căn bản Đại học Thương Mại (Trang 107 - 110)

Quy trình mua hàng sử dụng thẻ

7.1.1 Định nghĩa an toàn thương mại điện tử

An tồn có nghĩa là được bảo vệ, khơng bị xâm hại. An toàn trong thương mại điện tử được hiểu là an tồn thơng tin trao đổi giữa các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngồi hoặc có khảnăng chống lại những tai hoạ, lỗi và sự tấn công từ bên ngoài.

Trong thương mại truyền thống, khi đi mua hàng, người mua có thể gặp những rủi ro như khơng nhận được những hàng hố mà mình đã mua và thanh tốn. Nguy hiểm hơn, khách hàng có thể bị những kẻ xấu lấy cắp tiền trong lúc mua sắm. Nếu là người bán hàng, thì có thể khơng nhận được tiền thanh tốn. Thậm chí, kẻ xấu có thể lấy trộm hàng hố, hoặc có những hành vi lừa đảo như thanh tốn bằng thẻ tín dụng ăn cắp được hoặc bằng tiền giả, v.v..

Nhìn chung, tất cả các loại tội phạm diễn ra trong môi trường thương mại truyền thống đều xuất hiện trong thương mại điện tử dưới nhiều hình thức tinh vi và phức tạp hơn. Trong khi đó, việc giảm các rủi ro trong thương mại điện tử là một quá trình phức tạp liên quan đến nhiều công nghệ mới, nhiều thủ tục và các chính sách tổ chức, liên quan đến những đạo luật mới và những tiêu chuẩn công nghệ mới (hình 7.1).

Để đạt được mức độ an tồn cao trong thương mại điện tử, chúng ta phải sử dụng nhiều công nghệ mới. Song, bản thân các công nghệ mới này không thể giải quyết được tất cả mọi vấn đề. Cần có các thủ tục và chính sách, tổ chức... để bảo đảm cho các công nghệ trên không bị phá hỏng. Các tiêu chuẩn công nghệ và các đạo luật mới, phù hợp của chính phủ cũng cần được áp dụng để tăng hiệu quả hoạt động của các kỹ thuật thanh toán và để theo dõi, đưa ra xét xử những vi phạm luật pháp trong thương mại điện tử.

An tồn ln mang tính tương đối. Lịch sử an toàn giao dịch thương mại đã chứng minh rằng,

bất cứ hệ thống an toàn nào cũng có th b phá v nếu khơng đủ sức để chống lại các cuộc tấn công. Hơn nữa, một sự an tồn vĩnh viễn là khơng cn thiết trong thời đại thông tin. Thông tin đôi khi chỉ có giá trị trong một vài giờ, một vài ngày hoặc một vài năm và cũng chỉ cần bảo vệ chúng trong khoảng thời gian đó là đủ. An tồn ln đi liền vi chi phí, càng an tồn thì chi phí sẽ càng cao, vì vậy, cần cân nhắc các khoản chi phí an tồn cho những đối tượng cần bảo vệ. Và, an toàn là cả mt chui liên kết và nó thường đứt những điểm yếu nht. Cũng giống với việc chúng ta sử dụng khoá, ổ khố bao giờcũng chắc chắn và có độan tồn cao hơn việc quản lý các chìa khố.

Hình 7.1: Mơi trường an tồn thương mại điện t.

7.1.2 Nhng vấn đềcăn bản của an toàn thương mại điện t

An tồn TMĐT bao hàm khơng chỉ sự ngăn ngừa và đối phó lại các cuộc tấn cơng và xâm nhập trái phép trên mạng. Ví dụ, hãy xem xét tình huống khi một người dùng kết nối với máy chủ Web của một site marketing nhằm lấy tư liệu về sản phẩm. Người dùng sẽ được yêu cầu điền vào một mẫu trên trang Web cung cấp thông tin cá nhân và dân số học trước khi nhận tư liệu. Trong tình huống này, các vấn đề an tồn sẽ xuất hiện?

Về phía người dùng:

- Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và vận hành hay không?

- Trang Web và các mẫu khai thơng tin có chứa đựng các nội dung và các đoạn mã nguy hiểm hay không?

- Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website tiết lộ cho bên thứ ba hay không?

Yêu cầu từ phía doanh nghiệp:

- Người sử dụng có định xâm nhập vào máy chủ hay những trang web và thay đổi các trang Web và nội dung trong website của công ty hay không:

- Người sử dụng có làm làm gián đoạn hoạt động của máy chủ, làm những người khác không truy cập được vào site của doanh nghiệp hay không?

Yêu cầu từ cả người dùng và doanh nghiệp:

- Liệu thông tin giữa người dùng và doanh nghiệp truyền trên mạng có bị bên thứ ba “nghe trộm” hay không?

- Liệu thông tin đi đến và phản hồi giữa máy chủ và trình duyệt của người sử dụng không bị biến đổi hay không?.

Bản chất của an toàn TMĐT là một vấn đề phức tạp. Đối với an toàn thương mại điện tử, có bảy vấn đề cơ bản cần phải giải quyết, bao gồm: s xác thc, quyn cp phép, kim tra (giám sát), tính bí mt, tính tồn vn, tính sn sàng và chng t chi.

Sự xác thực liên quan đến khả năng nhận biết các đối tác tham gia giao dịch trực tuyến trên Internet, như làm thế nào để khách hàng chắc chắn rằng, các doanh nghiệp bán hàng trực tuyến là những người có thể khiếu nại được; hay những gì khách hàng nói là sự thật; làm thế nào để biết được một người khi khiếu nại có nói đúng sự thật, có mơ tả đúng sự việc hay không? Khi người dùng nhìn một trang Web từ Website, liệu người dùng có tin tưởng rằng Website đó là khơng lừa đảo hay không? Khi một người công dân gửi bản kê khai thuế đến cơ quan thuế qua mạng, liệu người đó có dám tin tưởng rằng thông tin sẽ chuyển đến cơ quan thuế hay không? Khi một người nhận được bức thư điện tử, liệu người đó có tin tưởng rằng người gửi chính là người mà mình u cầu gửi hay khơng?

Q trình mà thơng qua đó một thực thể này kiểm tra rằng một thực thểkhác chính là đối tượng mà mình yêu cầu được gọi là sự xác thc. Xác thực yêu cầu bng chng ở các dạng khác nhau, đó

cỏ thể là mật khẩu, thẻ tín dụng hoặc chữký điện tử…

* Quyn cp phép (Authorization)

Một khi đã được xác thực, liệu một cá nhân hoặc một chương trình có quyền truy cập tới một dữ liệu cụ thể, các chương trình hoặc các nguồn lực hệ thống nào đó (files dữ liệu, các bản ghi, thư mục…) hay không? Quyền cấp phép đảm bảo rằng một cá nhân hoặc một chương trình có quyền truy cập tới các nguồn lực nhất định. Quyền cấp phép thường được xác định bởi thông tin so sánh về cá nhân hay chương trình với các thơng tin kiểm sốt truy cập liên kết với các nguồn lực được truy cập.

* Kim tra (giám sát) (Auditing)

Khi một người hoặc một chương trình truy cập vào một Website, sẽ có các mảnh thơng tin khác nhau được sẽ được ghi lại trên các file nhật ký. Khi một người hoặc một chương trình yêu cầu cơ sở dữ liệu, hành động đó cũng được ghi lại trên các file nhật ký. Q trình thu thập thơng tin về sự truy cập vào một nguồn lực cụ thể, bằng cách sử dụng các quyền ưu tiên hoặc thực hiện các hoạt động an ninh khác, được gọi là kiểm tra. Việc kiểm tra sẽ cung cấp các phương tiện nhằm tái cấu trúc các hành động đặc biệt đã được tiến hành hoặcmang đến cho đội ngũ IT khả năng phân định cá nhân hoặc chương trình đã thực hiện các hành động.

* Tính tin cậy (confidentiality) và tính riêng tư (Privacy)

Tính tin cy liên quan đến khả năng đảm bảo rằng đối với các thông riêng tư, thơng tin nhậy

cảm, ngồi những người có quyền truy cập, khơng có ai, khơng có các q trình phần mềm máy tính nào cố thể truy cập vào. Tính tin cy liên quan chặt chẽ với tính riêng tư (bảo v bí mật riêng tư).

Các thơng tin riêng tư thường là các bí mật thương mại, các kế hoạch kinh doanh, các bản ghi về sức khỏe, số thẻ tín dụng, và ngay cả việc một các nhân nào đó vừa truy cập vào Website. Tính riêng tư liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ. Có hai vấn đề mà người bán hàng phải chú ý đối với tính riêng tư: 1) Người bán hàng cần thiết lập các chính sách nội bộ để có thể quản lý việc sử dụng các thông tin về khách hàng; 2) Họ cần bảo vệ các thơng tin đó tránh sử dụng vào những mục đích khơng chính đáng hoặc tránh sử dụng trái phép các thơng tin này. Thí dụ, khi tin tặc tấn công vào các website thương mại điện tử, truy nhập các thơng tin về thẻ tín dụng và các thông tin khác của khách hàng, trong trường hợp đó, khơng chỉ xâm phạm đến tính tin cậy của dữ liệu mà còn vi phạm riêng tư của các cá nhân, những người đã cung cấp các thơng tin đó.

Tính tin cậy địi hỏi cá nhân hoặc doanh nghiệp phải biết các dữ liệu và ứng dụng nào họ cần bảo vệ và ai được quyền truy cập tới đó. Tính tin cậy thường được dảm bảo bằng cơng nghệ mã hóa.

* Tính tồn vn

Tính tồn vn đề cập đến khả năng đảm bảo an tồn cho các thơng tin được hiển thị trên một website hoặc chuyển hay nhận các thông tin trên Internet. Các thông tin này không bị thay đổi nội dung hoặc bị phá hủy bằng bất cứ cách thức khơng được phép nào. Thí dụ, nếu một kẻ cố tình xâm nhập trái phép, chặn và thay đổi nội dung các thông tin truyền trên mạng, như thay đổi địa chỉ nhận

đối với một chuyển khoản điện tử của ngân hàng và do vậy chuyển khoản này được chuyển tới một tài khoản khác. Trong những trường hợp như vậy, tính tồn vẹn của thơng điệp đã bị xâm hại bởi việc truyền thông diễn ra khơng đúng với những gì người gửi mong muốn.

Trong thương mại điện tử, nếu khách hàng có bất cứ nghi ngờ nào về nội dung thông điệp hoặc sự trung thực của người gửi, họ có quyền đặt câu hỏi chất vấn, và các quản trị viên hệ thống sẽ là những người đầu tiên chịu trách nhiệm về các vấn đề này. Chính vì vậy, đểđảm bảo tính tồn vẹn thông tin, trước tiên, các quản trị viên hệ thống phải xác định chính xác danh sách những người được phép thay đổi d liu trên website của doanh nghiệp. Càng có nhiều người được phép làm điều

này cũng nghĩa là càng có nhiều mối đe dọa đối với tính tồn vẹn thơng tin từ cả bên trong và bên ngồi doanh nghiệp.

Mã hóa là một trong cách thức quan trọng để đảm bảo tính nguyên vẹn của thơng tin.

* Tính sn sàng (tính ích li)

Một site trực tuyến được gọi là sn sàng khi một cá nhân hoặc một chương trình có thể truy cập

được vào các trang Web, các dữ liệu hoặc dịch vụ do Website cung cấp khi cần thiết. Tính ích li

liên quan đến khả năng đảm bảo các chức năng của một website thương mại điện tửđược thực hiện đúng như mong đợi. Đây cũng là vấn đề mà các website hay gặp phải và là trở ngại không nhỏ đối với việc thực hiện các giao dịch trực tuyến trên Internet.

Các công nghệ như phần cứng và phần mềm cân bng ti được sử dụng để phục vụ việc đảm

bảo tính sẵn sàng của Website.

* Chng phđịnh (Nonrepudation)

Chng ph định liên quan đến khả năng đảm bảo rằng các bên tham gia thương mại điện tử không phủ định các hành động trực tuyến mà họ đã thực hiện. Thí dụ, một người có thể dễ dàng tạo lập một hộp thư điện tử qua một dịch vụ miễn phí, từ đó gửi đi những lời phê bình, chỉ trích hoặc các thơng điệp và sau đó lại từ chối những việc làm này. Thậm chí, một khách hàng với tên và địa chỉ thư điện tử có thể dễ dàng đặt hàng trực tuyến và sau đó từ chối hành động mà mình đã thực hiện. Trong hầu hết các trường hợp như vậy, thông thường người phát hành thẻ tín dụng sẽ đứng về phía khách hàng vì người bán hàng khơng có trong tay bản sao chữ ký của khách hàng cũng như khơng có bất cứ bằng chứng hợp pháp nào chứng tỏ khách hàng đã đặt hàng mình. Và tất nhiên, rủi ro sẽ thuộc về người bán hàng.

Một trong các công cụ then chốt để chống phủđịnh là chữký điện tử.

Internet

Web Web server

server Cáccchươngchương

tr

trììnhnhCGI,…CGI, ssddliliệuu

Tr

Trììnhnhduyduyệệtt Web Web

Ngu

Nguồồnn: : ScambrayScambray, J. et al: Hacking Exposed 2e. New York, J. et al: Hacking Exposed 2e. New York

Xáccththựcc

Một phần của tài liệu Giáo trình Thương Mại điện tử căn bản Đại học Thương Mại (Trang 107 - 110)

Tải bản đầy đủ (PDF)

(179 trang)